Хакеры внедрили код веб-скиммера в видеоплеер на 100+ сайтах

Олег Иванов 05 Января 2022 - 14:22

Домашние пользователи

...

Киберпреступники начали использовать облачный видеохостинг в кибератаках на цепочки поставок. На сайтах сферы недвижимости злоумышленники размещают вредоносный скрипт, ворующий вводимые посетителями данные.

Речь идёт о веб-скиммерах, с помощью которых хакеры часто крадут информацию, заносимую в формы на различных популярных сайтах. Объектами взлома зачастую становятся онлайн-магазины, на которых пользователи привыкли приобретать товары.

На новую кампанию обратили внимание специалисты подразделения Unit42, принадлежащего Palo Alto Networks. По их словам, киберпреступники задействовали облачный видеохостинг для внедрения кода скиммера в видеоплеер.

Таким образом, когда на сайт встраивается упомянутый видеоплеер, с ним автоматически добавляется вредоносный скрипт. В общей сложности исследователи из Unit42 обнаружили более 100 веб-ресурсов, скомпрометированных в рамках этой кампании.

К счастью, эксперты уведомили владельцев облачного видеохостинга и помогли убрать вредоносный код с пострадавших сайтов. Однако эти атаки стали очередным напоминанием о находчивости современных киберпреступников.

Как отметили специалисты, затронутая видеоплатформа позволяет создать плееры, в которые может быть включён JavaScript-код для кастомизации. Пострадавшие сайты сферы недвижимости встраивали видеоплеер, который использовал статичный JavaScript-файл, размещённый на удалённом сервере.

Эксперты Unit42 полагают, что злоумышленники получили доступ к файлу и изменили его, добавив вредоносный скрипт веб-скиммера. Злонамеренный код специально обфусцирован, чтобы не вызвать подозрений у пользователей и защитных средств.

В прошлом месяце мы писали о веб-скиммере, который был спрятан в контейнер Google Tag Manager и найден в 316 интернет-магазинах. Эта тактика, по словам специалистов по кибербезопасности, позволяла месяцами скрывать действующий вредонос.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 12 Августа 2025 - 09:19

Трояны Домашние пользователи

Порносайты используют заражённые .svg-файлы как кликеры

Исследователи из Malwarebytes обнаружили новую волну злоупотреблений форматом .svg — на этот раз в исполнении десятков порносайтов. Они используют заражённые изображения, чтобы заставить браузеры пользователей тайно «лайкать» свои посты в Facebook (признан экстремистским и запрещён в России, как и корпорация Meta).

Схема работает так: посетителю показывают .svg-файл, и если он кликает по картинке, в браузере незаметно срабатывает JavaScript, который оформляет «лайк» нужной странице — при условии, что у пользователя открыт Facebook-аккаунт (признан экстремистским и запрещён в России).

Внутри этих .svg скрывается сильно запутанный код, замаскированный с помощью модифицированной техники JSFuck, которая превращает JavaScript в хаотичную «стену» символов.

При расшифровке выясняется, что скрипт подгружает ещё цепочку обфусцированного кода, а в финале — вредонос под названием Trojan.JS.Likejack. Он и выполняет автоматический клик по кнопке «Нравится» без ведома пользователя.

Malwarebytes отмечает, что все выявленные сайты работают на WordPress. Facebook (признан экстремистским и запрещён в России) такие фальшивые аккаунты и страницы периодически блокирует, но их администраторы быстро возвращаются с новыми профилями.

Это не первый случай злоупотребления .svg. Ранее киберпреступники задействовали SVG-файлы для кражи паролей от аккаунтов в Google и Microsoft.